泄密案件现场技术核查取证的几点体会
发布单位:保密科技处 发布时间:2014-10-29

 
近日,我参与某泄密案的现场核查取证工作,这也是自己参与的最为复杂的一次核查取证过程。下面谈几点体会。 一、重视证据链的固定 (一)迅速派员现场核查。在接到泄密案件通报后,应注意两个方面的问题。一是明确国家保密局是否派人核查或委派省局技术核查。二是在无明确指示的前提下,由省局决定是省局人员进行现场技术核查还是委派各市地保密局负责核查工作。核查人员要力争第一时间到达核查现场。 (二)重视现场保护工作。案发生后应第一时间保护案件现场,保护现场有两个原则,一是使互联网用户无法访问涉嫌违规的网站服务器(即物理上断开连接)。二是确保与泄密案有关的设备保持原状态。 (三)开展核查前调查工作。 一是责任人的初步确认。核查人员到达涉案单位后,首先联系该单位负责信息化的人员,了解负责网站信息发布人员数量、姓名、所属部门,确认泄密信息的发布人。二是查看是否有信息上网保密审查单,如无保密审查单,须进一步查明涉密信息发布的授权人。三是泄密文件来源及流向追查。要进一步掌握泄密文件的来源(单位、部门、提供人员)、流向(接触泄密文件的范围,是否流转到其他单位)和流转方式(电子邮箱、QQ、文件传输系统、移动存储介质等),应标注涉案文件在每个节点的传递链路和方式。最终以时间轴的方式构建相关文件流转涉及人员的人员结构树。 二、一丝不苟完成涉案文件的提取 在明确相关文件的流向后,核查人员应对人员树形结构中涉及的计算机、存储介质,必要时还要核查其互联网邮箱进行核查,要逐一标注存储涉案文件计算机的硬盘序列号、文件存储位置、创建文件的时间、处理文件的时间等情况。 文件核查内容: (一)查找国家局提供的泄密文件; (二)查找其他标密文件; (三)查找未标密的涉密信息; (四)掌握计算机内存储的其他文件情况。 技术核查中,创建“绝密”、“机密”、“秘密”、“涉嫌涉密文件”、“其他文件”命名文件夹,将查出的文件分类存储。对泄密问题严重或文件数量多、现场鉴别难度大的,可以将相关存储介质带回或对原存储介质进行镜像。取证相关文件记录必须经被取证单位的签字认定。 三、取证过程中的几点注意事项 (略)                                       (省保密局保密科技处 王铁键)